Лабораторная работа №10
Настройка списков управления доступом (ACL).
Исаев Булат Абубакарович
1132227131
НПИбд-01-22
Новый проект
Рис. 1.1. Открытие проекта lab_PT-10.pkt.
Подсоединение ноутбука
Рис. 1.2. Подсоединение ноутбука к порту 24 коммутатора msk-donskaya-baisaev-
sw-4 и изменение названия.
Присвоение адресов
Рис. 1.3. Присвоение оконечному устройству статического адреса 10.128.6.200, gateway-адреса
10.128.6.1 и адреса DNS-сервера 10.128.0.5.
Проверка
Рис. 1.4. Проверка (пингуем с admin-baisaev 10.128.0.2 и 10.128.0.5).
Настройка доступа к web-серверу
Рис. 1.5. Настройка доступа к web-серверу по порту tcp 80 (создан список контроля доступа с названием servers-out; указано, что
ограничения предназначены для работы с web-сервером; дано разрешение доступа по протоколу TCP всем пользователям сети
на доступ к web-серверу, имеющему адрес 10.128.0.2, через порт 80).
Добавление списка управления
Рис. 1.6. Добавление списка управления доступом к интерфейсу (к интерфейсу f0/0.3
подключается список прав доступа serversout и применяется к исходящему трафику).
Проверка
Рис. 1.7. Проверка демонстрации недоступности web-сервера при использовании команды ping по
ip-адресу web-сервера.
Проверка
Рис. 1.8. Проверка доступа к web-серверу через протокол HTTP (ввод в строке браузера хоста ip-
адреса web-сервера).
Настройка дополнительного доступа
Рис. 1.9. Настройка дополнительного доступа для администратора по протоколам Telnet и FTP (в список контроля доступа servers-out
добавлено правило, разрешающее устройству администратора с ip-адресом 10.128.6.200 доступ на web-сервер (10.128.0.2) по
протоколам FTP и telnet).
Проверка
Рис. 1.10. Проверка доступа с узла с ip-адресом 10.128.6.200 по протоколу FTP.
Проверка
Рис. 1.11. Проверка доступа с устройства dk-donskaya-1 по протоколу FTP (доступ запрещён).
Настройка доступа к файловому
серверу
Рис. 1.12. Настройка доступа к файловому серверу (в списке контроля доступа servers-out указано, что следующие ограничения
предназначены для работы с file-сервером; всем узлам внутренней сети (10.128.0.0) разрешён доступ по протоколу SMB к каталогам
общего пользования; любым узлам разрешён доступ к file-серверу по протоколу FTP (запись 0.0.255.255 — обратная маска).
Настройка доступа к почтовому
серверу
Рис. 1.13. Настройка доступа к почтовому серверу (в списке контроля доступа servers-out указано, что
следующие ограничения предназначены для работы с почтовым сервером; всем разрешён доступ к
почтовому серверу по протоколам POP3 и SMTP).
Настройка доступа к DNS-серверу
Рис. 1.14. Настройка доступа к DNS-серверу (в списке контроля доступа servers-out указано, что
следующие ограничения предназначены для работы с DNS-сервером; всем узлам внутренней сети
разрешён доступ к DNS-серверу через UDP-порт 53)
Проверка
Рис. 1.15. Проверка доступности web-сервера (через браузер) по имени.
Разрешение icmp-запросов
Рис. 1.16. Разрешение icmp-запросов (демонстрируется явное управление порядком размещения
правил — правило разрешения для icmp-запросов добавляется в начало списка контроля доступ).
Просмотр номеров строк
Рис. 1.17. Просмотр номеров строк правил в списке контроля доступа.
Настройка доступа для сети Other
Рис. 1.18. Настройка доступа для сети Other (в списке контроля доступа other-in указано, что следующие правила
относятся к администратору сети; разрешение устройству с адресом 10.128.6.200 на любые действия; подключение
к интерфейсу f0/0.104 списка прав доступа other-in и применение к входящему трафику).
Настройка доступа администратора
Рис. 1.19. Настройка доступа администратора к сети сетевого оборудования (в списке контроля доступа management-out указано,
что устройству администратора с адресом 10.128.6.200 разрешён доступ к сети сетевого оборудования (10.128.1.0); к интерфейсу
f0/0.2 подключён список прав доступа management-out и применено к исходящему трафику).
Проверка корректности правил
Рис. 1.20. Проверка корректности установленных правил доступа с оконечного устройства admin-baisaev.
Проверка корректности правил
Рис. 1.21. Проверка корректности установленных правил доступа с оконечного устройства other-donskaya-1.
Разрешение администратору
(Павловская)
Рис. 1.22. Разрешение администратору из сети Other на Павловской действия, аналогичные действиям
администратора сети Other на Донской.
Проверка разрешений
Рис. 1.23. Проверка разрешений администратора из сети Other на Павловской.
Вывод
В ходе выполнения лабораторной работы мы освоили настройку прав доступа
пользователей к ресурсам сети.
Спасибо за внимание!